インターネット上のトラッキング技術「ブラウザーフィンガープリント」を3回にわたって解説する。第2回はブラウザーフィンガープリントへのニーズが高まっている背景として、Cookieとネット広告とGDPR(EU一般データ保護規則)の関係を解説する。

※「Cookieとは? 改めて知りたいネットのトラッキング技術」の続きです。
Webブラウジングをすると広告を見ないことはないというくらい、ネット上には多くの広告があふれている。
これらの広告は多くの場合はCookieを利用していて、それらはthird-party Cookie(サードパーティークッキー)と呼ばれている(図1)。一方、アクセスした先のサーバーから発行されるものを、first-party Cookieと呼ぶ。
Cookieは、広告の色々な用途で利用されている。例えば、ユーザーがあるWebサイトで「冷蔵庫」を見ていて、別のWebページに移動したときに「冷蔵庫」の広告が表示されるといったことがある。これを「リターゲティング広告」というが、これはユーザーの挙動がCookieでトラッキングされていて、広告を配信しているサーバーがそのCookieを利用することでユーザーを特定しているからだ。広告配信サーバーはユーザーの挙動から、その人が関心を持ちそうな広告を掲載しようと、いつでも見つめているのだ。
Cookieの仕組みを中心に、この「冷蔵庫」の例をもう少し詳しく見てみよう。
Webページを見ていて広告バナーが表示されるときや広告をクリックしたとき、ユーザーのWebブラウザーは、知らないうちに広告配信サーバーから発行されたCookieを受け取っている。例えば、Webページ上に広告が表示されるとき、Webブラウザーは広告配信サーバーにJavaScriptなどを介してアクセスしていて、広告として表示する画像やテキスト、クリックした時の遷移先URLを取得している。その時同時に、広告配信サーバーはCookieを発行している。ユーザーは自分から広告配信サーバーにアクセスしているわけでもないのに、Webページ上の広告枠を通じて、Cookieを受け取ってしまっているのだ。
図2で、筆者のChrome上にあるCookieを示した。一旦Chrome上のをすべてのCookieを消去し、わずか数箇所ほどのWebサイトを訪れた後に残されていたCookieだ。Cookieが発行されたWebサイト名を見てみたところ、筆者がアクセスしたWebサイト以外のところばかりだった。Chromeで開いていないにもかかわらず、大量のCookieが発行されてPC上に保存されていたのだ。
ちなみに、たった一つのWebサイトを閲覧しただけで、24個もの大量のサードパーティークッキーが発行されているケースもあった。実際、多くのニュース系サイトは、アクセスするとすさまじい量のCookieが発行される。これらは、広告配信事業者やユーザーの挙動をトラッキングするサービスで利用されているものがほとんどだ。
訪れたことがないWebサイトからCookieが大量に発行され、WebブラウザーやPC上での自分の挙動が勝手に分析されるというのは、あまり気持ちのよいものではないだろう。
そこで、Webブラウザーや端末の設定でできる、サードパーティークッキーを抑制できる機能を紹介しよう。
図3は、iPhoneのSafariの設定。「サイト越えトラッキングを防ぐ」のチェックをオンにするだけだ。これはITP(Intelligent Tracking Prevention)と呼ばれる機能で、iOS11から追加された。前述のような“ユーザーを追いかけてくる広告”で利用しているCookieに制限をかけるものだ。
具体的には、Cookieの発行を行ってから24時間だけ当該サードパーティークッキーにアクセスすることができて、それ以降はアクセスできなくなるというもの。つまり、サードパーティークッキーを利用している広告配信業者などは、24時間以降はユーザーの追跡ができなくなり、リターゲティング広告やユーザーの挙動解析ができなくなるのだ。